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Device and Method for Secure Electronic Data Transmission 

The present invention relates to a device and a method for secure 
electronic transmission of data between end units that are 
temporarily or permanently connected to a server. 

This method and this device are particlarly suited for electronic 
transmission of medical data. 

From the legal point of view, the confidentiality of medical 
data has top priority. When transmitting medical data over 
publicly accessible networks, e.g. the internet or a compound 
network that is accessible from the outside, it is therefore 
necessary to provide security measures that ensure the best 
protection . 

The protection mechanisms basically available for data 
transmission over public networks relate in particular to using 
cryptographic methods of encoding data. Usually standard 
cryptographic methods using secure exchange of keys 
corresponding to X.509 are employed: symmetric encoding 
processes, in particular for encoding large amounts of data and 
asymmetrical encoding processes using a so-called public key and 
a so-called private key, such as the common RSA. 

The present invention relates to the transmission of data from 
one network participant (transmitter) to another (addressee or 
recipient) via intermediate storage on a data station 
respectively on a server. Although an asymmetrical encoding 
process using the public key of the addressee for encoding data 
offers a high degree of protection in the electronic transmission 
of data, this method cannot be used by addressees who in many 
cases are still unknown when the data are provided. 
An example of this arises, for instance, in the field of 
medicine, as explained later on with reference to the preferred 
embodiment, when a physician gives a patient a transfer slip to 
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consult a colleague and he wants to send the colleague certain 
medical data of the patient electronically. In many cases, the 
identity of the colleague that the patient will seek is not known 
at the time. 

The object of the present invention is to provide a device and a 
method for secure electronic transmission of data via the server 
of a network, wherein the addressee of the data does not need to 
be known at the time when the data is made available. 

The object is solved with the device and the method set forth in 
claims 1 and 12. Advantageous embodiments and further 
improvements of the device and the method are the subject matter 
of the subclaims. 

The invented device which has to be installed and operated in the 
network server is provided with an input unit for receiving coded 
data (from the transmitter) and an external key (of the 
recipient) . 

Furthermore, the device has a unit for decoding the coded data 
with an internal key and for renewed encoding of the data with 
external key. The internal key is filed in some technical manner 
inside the device and is not accessible from outside the device. 
The data encoded with the external key can be retrieved at an 
output . 

It is a matter of course that the to-be processed data have to be 
encoded in such a manner that they can be decoded with the 
internal key. Thus, only coded data that the device can read are 
converted into recoded data inside the device with an external 
key for recoding. When a corresponding data request is made, the 
recoded data can be read by the holder of the external key, 
which was transferred to the device along with the data. 

Fundamentally, the original transmitted data, i.e. for example 
medical data, can be decoded by the device and recoded again. 
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However, in a preferred application of the device, which is 
described later on, not the original data itself but only its key- 
transferred in coded form is recoded with the device. 

In a preferred embodiment, for decoding the coded data and for 
recoding the data, the device is provided with a chipcard as 
carrier of the internal key. This chipcard is preferably a 
chipcard from a certified trust center. 

In another version, encoding and decoding can be partly or 
completely carried out directly by an active chipcard. 

Another possibility is to employ a suited circuit in compliance 
with information, and communication service and signature laws, 
if need be software controlled, as a unit for encoding and 
decoding . 

The heart of the invented solution is recoding the data or 
recoding a key accompanying the data, hereinafter referred to as 
session key, in such a manner that the data can be read by an 
authorized communication partner, the addressee. For this 
purpose, in the preferred embodiment, a session key used for 
symmetrical encoding of -data is decoded with the private key of 
the server and immediately recoded with the public key of the 
recipient or addressee requesting the data. This key is 
preferably stored in the server in a list of participating and 
authorized network participants, e.g. along with the 
participant's ID and the ISDN number, and can be updated at any 
time as needed through the services of a trust center. 

Decoding the original data per se is not necessary with this 
method. Required for later decoding of the data is only the 
session key, now readable for the recipient, which was generated 
for instance by chance during encoding as explained in more 
detail in the preferred embodiment. 
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In this way, it is avoided that the data are ever in the server 
uncoded. In detail this means that there is no access to the 
coded data during the recoding processes at all. Processed is 
only the session key used for their encoding which was "recoded" 
in a closed process from a form that only the server respectively 
the invented device installed in the server can read into a form 
that the requester can read. 

Application of the device is made more apparent by the following 
preferred embodiment in conjunction with the accompanying figure. 
This application is in the field of medicine, which is the 
preferred field of application of the present invention. 
In the course of this, security measures which singly are as 
such already known and which all ensure highly secure data 
transmission in the mentioned field of application, are explained 
and executed in combination with the invented device and process. 

It is a matter of course, that the combinations of single 
security measures described in the following are independent of 
each other so that omitting one of these steps or replacing it by 
other known security measures is also feasible. 

The present example relates to the electronic transmission of 
medical data over public networks. The security measures used to 
do this ensure the best possible protection of these sensitive 
data. In this area, a typical process begins in the office of the 
doctor of a patient. The physician transfers the patient to a 
specialized doctor who the physician does not know at this point 
in time because the patient has the right of free choice. 
Hitherto, the patient was usually given a sealed envelope 
containing the important medical data and the transfer slip which 
he was to give the specialized doctor of his choice. 
If the physician wanted to transmit the. data to the colleague 
electronically, he would have had to know the colleague's 
identity at the t ime of the transfer. This is no longer 
necessary with the process described in the following using the 
invented device and the invented method. The basic system 



comprises at least one central data station, a server, to which a 
connection can be set up from the data stations participating in 
the system. In the present case, the data stations are the 
doctors' external computers. In the described instance, this 
means the transferring doctor files the patient's required 
medical data in the server for the (still unknown) colleague 
and this colleague can retrieve these data from the server at a 
later date. 

The description of the security mechanism starts with the general 
security aspects of the design of the system and then explains 
the general and the specific use of the cryptographic process and 
finally the integration and technical realization of the invented 
device. 

Any form of active reading of data requires, if need be limited, 
access authority to the data station where the data are stored. 
In the present example, the system does not permit reading access 
to the server but only the transmission of a data request through 
the participating sites. Upon verification of the authority to 
receive, the data are sent to the requester, in the present case 
the specialized doctor requesting the data, thereby preventing 
as far as possible direct access to the data content of the 
server from an external site. 

For communication, the exemplary concept employs a type of 
communication known as "remote procedure call" (RPC) , wherein a 
request to carry out a certain function and to send back the 
result of this function is transmitted to the server from an 
external computer. The advantage of this type of communication 
is that running on the server is a problem-specific application 
which executes solely those operations provided in the system 
function. In this manner, functions that go beyond this, e.g. 
direct access to the data, are ruled out with absolute certainty. 
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Furthermore, the concept also provides that in order for a 
network participant to set up a connection, the network 
participant first sends a request to set up a connection to the 
server. This operation itself does not set up a connection. But 
rather, it is provided that this request is realized as so-called 
"D channel information" . This is a special ISDN network function 
in which prior to "accepting" a call, thus free of charge, only 
the identifier respectively the number of the caller is 
transmitted. Subsequently, the server checks whether the number 
matches one in the list of participants stored in the server. 
Only if the transmitted caller's number is one belonging to an 
"authorized" network participant, will the server initiate a 
return call via a number stored in an internal data bank. 
The special security aspect of this solution is that although the 
caller's number transmitted in the D channel can, _ in certain 
circumstances, be falsified (can be "masked"), the connection via 
the server is set up in any event with the actual holder of this 
number, thus the authorized network participant. Therefore, in 
the worst case, a connection is initiated to a network 
participant who did not request it but belongs to the authorized 
group. In any case, no transmission of data occurs, because being 
unable to provide a data request, the computer of the participant 
who was called back without requesting the data is unable to set 
up a connection. 

The described exemplary concept is based on transmitting 
documents once in the sense of "mailing" . As soon as a document 
is requested from the server by an authorized addressee and it is 
sent to him, it is erased in the server (first logically and then 
physically) . This is particularly possible with the present 
application, because the data are only intended for one 
addressee . 

If the data are to be accessible to several addressees, this 
measure is not provided. 

Moreover, all the data are provided with an expiration date. When 
it has expired, the data are also erased physically. In this 
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manner, data do not accumulate in the server, thus making it 
impossible to link different documents relating to one patient or 
to one doctor. The identification of the documents occurs via a 
procedure ID granted only once for this specific communication 
procedure and does not permit drawing any conclusions about the 
patient. The requesting doctor must know this ID, and it is 
preferably given to him with the respective paper document 
(transfer slip) by the patient himself. 

In addition to the described security measures, all the data are 
encoded and signed for the transmission and storage utilizing 
standard cryptographic processes with a secure exchange of keys, 
for example corresponding to X.509. These are symmetric encoding 
processes such as triple DES, "blowfish" or IDEA for encoding 
large amounts of data and asymmetrical encoding processes such as 
RSA or elliptical encoding processes for the digital signature 
(encoding a hash value) and the encoding of the symmetrical 
session key. 

In order to secure the authenticity and the integrity of the 
transmitted data, each document is signed before transmission 
with the sender's private key, in the present case the 
transferring doctor's. For this purpose a hash value is 
determined which is asymmetrically encoded with the sender's 
private key. The signature of the document is preserved even 
after decoding (see following steps) and thus is at disposal for 
forensic relevant verification of the authenticity of the 
document. However, a prerequisite for the proof of authenticity 
is that the document is stored in the signed form at the 
recipient, if need be also an unsigned version is stored there in 
addition to the readable one. Separate storage of the document 
and the signature is possible. However, it has the danger that 
unintended modification of the document, e.g. when opening the 
word processing system, invalidates the signature. Archiving the 
document is the recipient's responsibility. 
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The single documents are symmetrically encoded using a random 
generating key (session key) with a length of N (for security 
reasons N should be larger than or equal 128) . The session key 
employed for encoding is encoded with the server's public key, 
i.e. the invented device installed in the server. For security 
reasons, the length of the key should be at least 1024 bits. 

As the document including the signature are encoded, the server 
cannot check the authenticity of a document, neither with regard 
to its error-free transmission nor its existence per se 
(electronic "registration"), without decoding the data. In order 
to permit this, the signed and encoded document is signed again 
in addition. 

The document prepared in the af oredescribed manner is processed 
as a MIME-compatible file and transmitted in this form to the 
server by means of a corresponding RPC. In the server, the 
document is unpacked out of the MIME format and the external 
signature is checked and removed in the process. In this manner, 
its intactness, i.e. the completeness and authenticity of the 
document, is checked and then logged. After successful filing of 
the (encoded) document, a receipt signed with the server's 
personal key is returned to the sender by the server as 
infallible proof of successful filing of the document. 

The to-be- forwarded document is stored in the server in the 
(internally) signed and then encoded form. No one can decode it 
in this coded form. 

An accompanying not coded procedure ID, which is part of each 
procedure, serves as filing respectively access criterium for 
administering the coded documents. As already explained in the 
preceding, this procedure ID is given later by the patient 
directly to the doctor of his choice. This ID is clear to the 
server from the transmitted request for data of which it is a 
part. 
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Data can be requested by participants of the respective network 
by providing this respective procedure ID, their ISDN number and 
their doctors ' s identifier. 

Additional identifiers, e.g. for distinguishing the respective 
patient, may be required to increase security further. 

When the respective specialist doctor requests data, the invented 
device recodes the data in such a manner that it becomes readable 
for the requesting doctor. For this purpose, the session key 
employed for symmetrically encoding the data is decoded with the 
server's private key present in the server and immediately 
recoded with the requesting recipient's public key. This public 
key is, along with the doctor's ID and the ISDN number, stored in 
the list of participating network doctors and can be updated via 
the service of a participating trust center. 

It is not necessary to decode the medical data itself. In order 
to later decode the data, only the session key, now readable for 
the recipient, has to be known which was randomly generated 
in the course of encoding. 

In this manner, it is impossible that the medical data 
themselves are present in the server in an uncoded form at any 
time. There is no access to the coded data during recoding. 
Processed is solely the session key used for their encoding and 
which is "recoded" from a form only readable for the server into 
a form readable for the requester. 

The document encoded for transmission to the recipient is signed 
again to secure correct transmission to the recipient and to 
secure possibly desired logging, notably by the server with its 
personal key. 



The document prepared in the manner described in the preceding is 
processed as a MIME compatible file and is sent in this form as a 
RPC reply to the data request to the requester. 
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At the recipient the document is unpacked out of the MIME 
format, the external signature is checked and in the process 
removed. In this manner, the intactness, i.e. the completeness 
and the authenticity, of the document is checked again. The 
recipient's receipt signed with his personal key is returned to 
the server as infallible proof of successful transmission of the 
document . 

The recipient can decode the coded session key with his personal 
key and then decode the data themselves with it. Following this, 
the data are present only in the form that is readable with the 
sender ' s signature . 

The purpose of the signature of the initial document is to be 
able to prove the docucent ' s authenticity. In order to preserve 
the signature, it is necessary to store the document in the 
signed form. 

A possible vulnerable point is the server's private key. As all 
the stored data, more precisely all the session keys of the 
stored data, can be read with the same server's key, it would 
pay, in particular, to attack this key and, on the other hand, 
an attack is facilitated by the amount of data present. 
In order to take precautions against this circumstance, in a 
preferred embodiment of the present invention, as an additional 
security mechanism, it is provided that the session key is split 
in two . 

As described in the preceding, the original data is encoded with 
a N-bit (N being preferably greater than or equaling 128 bits) 
symmetrical key. This key is usually asymmetrical for 
transmission and only encoded in a manner that is readable to the 
recipient. Decoding, even forcible decoding, the session key thus 
suffices to be able to decode the data itself. 
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In order to prevent this, the following modification is 
introduced. In this modification, the session key is split in two 
before its symmetrical encoding. For instance, M (0 < M < N) of 
the N bits of the session key are removed as a so-called 
"procedure key" . Only the remaining (N-M) bits of the session 
keys are asymmetrically encoded and transmitted along with the 
data . 

Recoding the data with the reduced session key occurs in the same 
manner as described in the preceding in connection with a whole 
session key. As the data themselves never have to be decoded 
there, the whole session key is not required. Only the 
rudimentary session key is decoded by the server and encoded 
again for the requester. 

Decoding at the recipient differs from the af oredescribed 
procedure in that after decoding of the session key by means of 
the recipient's private key, this session key has to be expanded 
by the M bits of the procedure key separated at the sender. 
Following this, decoding can occur as described in the preceding. 

The procedure key generated at the sender of the data, i.e. the 
separated M bits, are added to the procedure ID which was also 
generated there. A combination of the procedure ID and the 
procedure key yields the so-called procedure identifier which is 
printed on the accompanying paper document (transfer slip, 
prescription, ...) and read at the recipient. The procedure key 
contained in the procedure identifier is never transmitted to the 
server so that all the information required to actually decode a 
document never comes together in the server . 

Figure 1 shows an example of the invented device as utilized for 
carrying out the preceding application example. 

The device is preferably designed in the form of a plug-in module 
1 (recoding module) for modular installation in the server. In 
the present case, module 1 contains a chipcard 2 which conducts 
the decoding of the coded session key 10a with the aid of the 
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server's private key stored in the chipcard 2 and the recoding of 
the session key with the public key of the addressees 
respectively the requesters of the data. The server's private key 
is not accessible from outside the chipcard respectively from 
outside the module. The requester's public key is conveyed to 
device 1, as is the to-be-recoded session key 10a, via an 
interface provided for this purpose. The recoded session key 10b 
is issued via a further interface. 

The server's processor itself assumes the task of separating the 
session key 10a from the coded data block 11, conveying it to 
device 1 and adding the session key 10b supplied and recoded by 
the device to data block 11 again, as the diagram in the figure 
shows . 

However, this separation and renewed combination can also be 
conducted directly in device 1. In this case, the entire data 
block 11 with the session key 10a would have to be conveyed to 
the device. 

The server's personal key is undoubtedly a critical point with 
regard to intentional, unauthorized attempts to gain access to 
the data. 

Usually keys must not respectively should not be stored in the 
computer on which the coded data are stored respectively are 
processed. However, if the server operates automatically as in 
the present case this is unavoidable. For this reason, in the 
present embodiment the device is designed as a sealed, 
encapsulated unit that is able to carry out the entire procedure 
of recoding the data internally without the decoded (even 
rudimentary) session key or even only traces of its decoding 
leaving the autonomous unit. 

Today there are already key cards available on the market that 
are able to carry out the asymmetrical encoding of a 128-bit 
session key according to a 1024-bit RSA process completely on the 
chip of the card. Soon such cards will also be available for 
2048-bit keys. 



In particular, there is the possibility to have the two keys 
(public key - private key) generated directly on the card or in a 
lawful, certified trust center without the private key of the 
card ever leaving the card. Such a key card can be utilized in 
the invented device as chipcard 2. In a first step, the coded 
session key 10a is conveyed to this chipcard 2. This coded 
session key 10a is then decoded with the aid of the card's 
private key, which in the preceding was referred to as the 
server's private key. The decoded session key is issued by card 2 
without, however, ever leaving device 1. But rather in a second 
step of card 2, it is entered again, this time along with the 
addressee's public key. In this second step, card 2 returns the 
recoded session key 10b. This is shown by arrows inside device 1 
in the figure. The additional circuit, buffer unit 4, required 
for this serves, i.a. to coordinate these procedures temporally. 
This buffer unit 4 can, for example, be realized by a suited, 
programmed micro the coded session key 10a processor or by means 
of a logic circuit. 

In order to prevent drawing conclusions about the internal 
procedures from the modulations on the current supply of the 
device, in the present embodiment of the device, a constant 
current circuit 3 is provided which ensures within the scope of 
a defined interval of the supply voltage that the device is 
provided with a constant and modulation- free current input. When 
exceeding or falling short of certain limits of the operating 
voltage or other operation parameters, such as, e.g. temperature, 
the device turns off with an error message. 

As conclusions can also be drawn about the internal procedures 
from the temporal behavior of the device, all the input data can 
be first buffered in the buffer unit 4 or in a special unit 
provided for this purpose and the results can be issued after 
always the same time regardless of how much time the internal 
procedures took. 



"Bugging" the electronic procedures in the device is prevented in 
the present embodiment by an electromagnetic screening 5 of the 
device . 

Provided as the interface of the device is, on the one hand, an 
interface for the input of the asymmetrically encoded session key 
10a (respectively a rudiment of this key) and of the public key 
of the requesting recipient. On the other hand, an interface must 
be provided for the output of the asymmetrically encoded session 
key 10b (respectively its rudiment) . Both interfaces can be 
physically identical with a suited design. 

Furthermore, for generating respectively checking signatures, 
interfaces can be provided for the input of the hash value of the 
to-be signed document and for the output of the symmetrically 
encoded hash value, i.e. the signature. 

Although the af oredescribed measures were presented in the 
context of the example on which the present invention is based, 
this idea and the invented device can, of course, also be applied 
in other fields requiring secure transmission of data between two 
data stations via intermediate storage on a server. 

Furthermore, the present invention is not limited to the 
transmission of data only via one intermediate station 
respectively one server. The data can also be transmitted via 
multiple servers, with the data request being executed by another 
server always in the same manner as the request by an addressee. 
Then the data are treated in the other server in the same manner 
as in the first server, i.e. this other server must also be 
provided with the invented device. 



What is Claimed Is: 



1. A device for secure transmission respectively forwarding of 
coded data via a data station of a network, having 

- an input unit for receiving said coded data (10a) and an 
external key; 

- a unit (2) for decoding said coded data with an internal key 
and recoding said data with said external key, with said internal 
key not being accessible from outside said device; and 

- an output unit for issuing said data (10b) encoded with said 
external key. 

2. A device according to claim 1, 

wherein said internal key is stored on a suited data carrier 
inside said unit (2) for decoding and encoding. 

3. A device according to claim 1 or 2 , 

wherein said unit (2) for decoding and encoding comprises a chip 
card as said carrier of said internal key. 

4 . A device according to claim 1 or 2 , 

wherein said unit (2) for decoding and encoding comprises an 
active chip card with an integrated processor, which partly or 
completely assumes the decoding and encoding of said data. 

5. A device according to one of the claims 1 to 4 , 

wherein said device is provided with a buffer and logic unit (4) 
for temporal control of the data flow in said device, said buffer 
and logic unit (4) first conveys said coded data (10a) for 
decoding to said unit (2) for decoding and encoding and receives 
said data back decoded, and said buffer and logic unit (4) 
subsequently conveys said decoded data for encoding with said 
external key to said unit (2) for decoding and encoding and 
receives it back as coded data (10b) . 



6. A device according to one of the claims 1 to 5 , 

wherein said input unit and said output unit are provided with 
standard interfaces for the input and output of said data. 

7. A device according to one of the claims 1 to 6 , 
wherein said unit (2) for encoding and decoding utilizes 
asymmetrical encoding processes. 

8. A device according to one of the claims 1 to 7 , 

wherein said device is provided with a complete mechanical and 
electromagnetic encapsulation (5) and with a possibility of 
sealing. 

9. A device according to one of the claims 1 to 8 , 
wherein a buffer unit is provided which buffers all the data 
flows inside said device to compensate for possible internal -key- 
dependent processing times so that the data output of said device 
occurs according to a process -independent time span. 

10. A device according to one of the claims 1 to 9, 

wherein a unit (3) is provided for buffering the current input of 
said device in such a manner that said current input of said 
device is independent of the current input of said unit (2) for 
decoding and encoding, which is dependent on said internal key, 
or of other internal circuits. 

11. A device according to one of the claims 1 to 10, 

which is further provided with a unit for receiving a first data 
block containing said coded data (10a) in addition to further 
data (11) and for separating said coded data (10a) from said 
further data (11) and with a unit for joining said further data 
(11) with the recoded data (10b) to a second data block and for 
the output of said second data block, with said encoded data . 
representing a key with which said further data (11) are encoded. 




17 

12. A process for secure data transmission from a first data 
station via a second data station to a third data station using 
the device according to one of the preceding claims, having the 
following steps: 

- encoding of the data in said first data station with a first 
key; 

- encoding of at least a part of said first key in said first 
data station with a public key of said second data station; 

- transmission of said coded data (11) together with the coded 
part of said first key (10a) to said second data station; 

- storage of said coded data (11) and of said coded part of said 
first key (10a) in said second data station; 

- request of said data by said third data station; 

- decoding of said coded part of said first key with a private 
key of said second data station matching said public key and 
recoding of the previously decoded part of said first key with a 
public key of said third data station; and 

- transmission of said coded data (11) together with said recoded 
part of said first key (10b) to said third data station. 

13. A process according to claim 12, whereby said first key is 
completely encoded and transmitted. 

14. A process according to claim 12, whereby only a part of said 
first key is encoded and transmitted to said second data station. 

15. A process according to one of the claims 12 to 14, whereby 
said coded part of said first key is decoded in said third data 
station with said private key of said third station and 
subsequently said data (11) are decoded with said first key. 

16. A process according to one of the claims 12 to 15, whereby 
said public key of said third data station is taken from an 
internal data bank of said second data station or is determined 
by consultation with a trust center. 
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Vorrichtung und Verfahren fur die sichere 
elektronische Dateniibertragung 
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Die Erfindung betrifft eine Vorrichtung sowie ein 
Verfahren fiir die sichere elektronische Daten- 
iibertragung zwischen Endgeraten, die zeitweilig oder 
permanent mit einem Server verbunden sind. 

Das Verfahren und die Vorrichtung sind insbeson- 
dere fur die elektronische Weitergabe medizinischer 
Daten sehr gut geeignet. 

Medizinische Daten stellen aus der rechtlichen 
Sicht des Datenschutzes eines der schiitzenswertesten 
Giiter uberhaupt dar. Fur die elektronische Weitergabe 
medizinischer Daten liber offentlich zug£ngliche Netze, 
wie beispielsweise das Internet oder ein von auSen 
zugangliches Verbundnetz, sind daher Sicherheits- 
mafcnahmen vorzusehen, die den bestmoglichen Schutz 
solcher Daten gewahrleisten. 

Die grundsatzlich fur die Dateniibertragung durch 
of fentliche Netze verfiigbaren Sicherheitsmechanismen 
betref fen vor allem die Nutzung kryptographischer 
Verfahren zur Verschlusselung der Daten. Hierbei 
werden in der Regel kryptographische Standardverf ahren 
mit sicherem Austausch von Schliisseln entsprechend 
X.509 eingesetzt. Dabei handelt es sich urn symmetrische 
Verschliisselungsverf ahren, insbesondere fiir die 
Verschlusselung groSer Datenmengen, und urn asym- 
metrische Verschliisselungsverf ahren unter Verwend\ing 
eines offentlichen (sog. "public key 1 ' ) und eines 
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privaten Schlussels (sog. "private key")/ wie das weit 
verbreitete RSA. 

Die vorliegende Erfindung betrifft die Ubertragung 
von Daten von einem Netzteilnehmer (Absender) zu einem 
anderen (Adressat bzw. Empf anger) tiber die Zwischen- 
speicherung auf einer Datenstation bzw. einem Server, 
wahrend bei der elektronischen Datenubertragung liber 
das Netz von einem Teilnehmer zu einem bereits be- 
kannten Adressaten ein asymmetrisches Verschltisselungs- 
verfahren unter Verwendung des offentlichen Schlussels 
des Adressaten zur Verschlusselung der Daten eine hohe 
Datensicherheit bietet, kann diese Vorgehensweise bei 
einem zum Zeitpunkt der Bereitstellung der Daten noch 
unbekannten Adressaten nicht eingesetzt werden. 

Ein solcher Fall ergibt sich beispielsweise im 
medizinischen Bereich, wie weiter unten im Ausfuhrungs- 
beispiel naher erlautert wird, wenn ein Arzt einem 
Patienten eine Uberweisung an einen Kollegen ausstellt 
und die fur den Arztkollegen bestimmten medizinischen 
Daten des Patienten auf elektronischem Wege bereit- 
stellen will. Die Identitat des Kollegen, den der 
Patient schliefelich aufsuchen wird, ist zu diesem 
Zeitpunkt in vielen Fallen noch nicht bekannt . 

Die Aufgabe der vorliegenden Erfindung besteht nun 
darin, eine Vorrichtung und ein Verfahren fur die 
sichere elektronische Datenubertragung uber den Server 
eines Netzwerkes bereitzustellen, bei dem der Adressat 
der Daten zum Zeitpunkt der Bereitstellung der Daten 
noch nicht bekannt sein mu£. 
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Die Aufgabe wird mit der Vorrichtung und dem 
Verfahren nach den Anspriichen 1 und 12 gelost. 
Vorteilhafte Ausgestaltungen und Weiterbildungen des 
Verfahrens und der Vorrichtung sind Gegenstand der 
Unteranspriiche . 

Die erf indungsgema&e Vorrichtung, die am Server 
des Netzwerkes installiert und betrieben werden mu£, 
weist eine Eingangseinheit zum Empfangen von verschlus- 
selten Daten (des Absenders) sowie eines externen 
Schlussels (des Empf angers) auf . Weiterhin ist in der 
Vorrichtung eine Einheit zum Entschlusseln der ver- 
schliisselten Daten mit einem internen Schlussel und zum 
erneuten Verschlusseln der Daten mit dem externen 
Schlussel vorgesehen. Der interne Schlussel ist inner - 
halb der Vorrichtung in irgendeiner technischen Form 
abgelegt und von auSerhalb der Vorrichtung nicht 
zuganglich. An einer Ausgangseinheit konnen die mit dem 
externen SchlQssel verschlusselten Daten abgegriffen 
werden . 

Es versteht sich von selbst, dafi die von der 
Vorrichtung zu verarbeitenden Daten so verschlusselt 
sein mussen, daS sie mit dem internen Schlussel der 
Vorrichtung entschliisselt werden konnen. In der 
Vorrichtung werden somit nur fur die Vorrichtung 
lesbare verschltisselte Daten mit einem externen 
Schlussel zur Neuverschlusselung umgewandelt in neu 
verschltisselte Daten, die fur den Inhaber des bei einer 
entsprechenden Datenanf orderung mit den Daten an die 
Vorrichtung ubergebenen externen Schliissels lesbar 
sind. 
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Hierbei ist es grundsatzlich moglich, die zu 
iibertragenden Ursprungsdaten, d.h. beispielsweise 
medizinische Daten, von der Vorrichtung entschliisseln 
sowie neu verschlusseln zu lassen. Bei dem bevorzugten 
5 Einsatz der Vorrichtung, wie weiter unten ausgefiihrt, 
werden allerdings nicht die Ursprungsdaten selbst, 
sondern nur deren in verschlusselter Form ttbertragener 
Schlussel mit der Vorrichtung neu verschlUsselt . 

10 in einer bevorzugten Ausfiihrungsform weist die 

Vorrichtung zum Entschliisseln der verschlusselten Daten 
sowie zur Neuverschlusselung der Daten eine Chipkarte 
als Trager des internen Schliissels auf . Bei dieser 
Chipkarte handelt es sich vorzugsweise urn eine Chip- 

15 karte eines zertif izierten Trust-Centers. 

In einer weiteren Auspr&gung konnen Verschlusse- 
lung und Entschlusselung ganz oder teilweise direkt 
durch eine aktive Chipkarte ausgefiihrt werden. 

20 Eine weitere Moglichkeit besteht darin, eine nach 

dem Informations- und Konununikationsdienste-Gesetz 
sowie Signaturgesetz geeignete Schaltung, gegebenen- 
falls Sof tware-gesteuert als Einheit zur Ver- und 
Entschliisselung einzusetzen. 

25 

Kern der erf indungsgemaSen Losung ist eine Um- 
schliisselung der Daten oder eines den Daten anhfingenden 
Schliissels, im folgenden als Session-Key bezeichnet, so 
daS die Daten fur einen der berechtigten Kommunika- 
3 0 tionspartner, den Adressaten, lesbar werden. Dazu wird 
in der bevorzugten Ausfiihrungsform des Verfahrens ein 
fur die symmetrische Vers chilis se lung der Daten verwen- 
deter Session-Key mit dem im Server vorhandenen priva- 
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ten Schlttssel des Servers entschliisselt und sofort 
wieder mit dem offentlichen Schliissel des die Daten 
anfordernden Empf angers bzw. Adressaten ver schliissel t . 
Dieser SchlUssel ist vorzugsweise - z.B. zusarnmen mit 
der Teilnehmer-ID und der ISDN-Nummer - in einem Ver- 
zeichnis der beteiligten und berechtigten Netzteil- 
nehmer auf dem Server gespeichert und kann bei Bedarf 
iiber die Dienste eines Trust-Centers jederzeit aktuali- 
siert werden. 



Ein Entschlttsseln der Ursprungsdaten selbst ist 
bei diesem Verfahren nicht notwendig. Zum spateren 
Entschlusseln der Daten mu£ nur der - jetzt fur den 
Empf anger lesbare - Session-Key bekannt sein, der bei 
15 der Verschlusselung beispielsweise per Zufall generiert 
wurde, wie im Ausfuhrungsbei spiel naher erl&utert wird. 

Auf diese Weise wird vermieden, daS die Daten 
selbst zu irgendeinem Zeitpunkt auf dem Server in 

20 unverschliisselter Form vorliegen. Im Detail bedeutet 
dies, da£ auf die verschlusselten Daten wahrend des 
Umschlusselungsprozesses uberhaupt kein Zugriff 
erfolgt. Verarbeitet wird lediglich der fur Ihre 
Verschlusselung verwendete Session-Key, der in einem 

25 geschlossenen ProzeS aus einer nur fur den Server bzw. 
die am Server installierte erf indungsgem&£e Vorrichtung 
lesbaren in eine fur den Anfordernden lesbare Form 
"umgeschlusselt" wird. 



30 



Der Einsatz der Vorrichtung soil im nachf olgenden 
anhand eines Ausfiihrungsbeispiels in Verbindung mit der 
Figur naher erlautert werden. Dieses Beispiel betrifft 
einen Anwendungsf all im medizinischen Bereich, der ein 
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bevorzugtes Anwendungsf eld der vorliegenden Erfindung 
darstellt . 

Hierbei werden in Kombination mit der erfindungs- 
gemaSen Vorrichtung sowie dem erf indungsgem&Een 
5 Verfahren weitere, fur sich genommen bereits bekannte 
SicherheitsmaEnahmen beschrieben und vorgenommen, die 
insgesamt eine hochsichere Datenweitergabe in dem 
genannten Anwendungsf all gewahrleisten. 

Es versteht sich von selbst, daS die nachfolgend 
10 angefuhrten Kombinationen der einzelnen Sicherheits- 
maEnahmen unabhangig voneinander sind, so daE auch die 
Auslassung eines dieser Schritte, oder der Ersatz durch 
andere bekannte SicherheitsmaEnahmen, moglich sind. 

15 Das Beispiel betrifft die elektronische Weitergabe 

medizinischer Daten uber offentliche Netze. Die hierfur 
eingesetzten Sicherheitsmafinahmen gewahrleisten den 
bestmoglichen Schutz dieser sensiblen Daten, Ein 
typischer Vorgang in diesem Bereich beginnt in der 

2 0 Praxis des Arztes eines Patienten. Der Arzt uberweist 
den Patienten an einen Facharzt, der diesem aufgrund 
des freien Arztwahlrechtes des Patienten zu diesem 
Zeitpunkt noch nicht bekannt ist. Ublicherweise wurden 
dem Patienten bisher hierzu in einem verschlossenen 

25 Umschlag die fur den Facharzt wichtigen medizinischen 

Daten zusammen mit der Uberweisung ubergeben, der diese 
dem von ihm gew^hlten Facharzt dann weitergegeben hat. 

Wollte der Arzt diese Daten dem Kollegen auf 
elektronischem Wege libermitteln, so mufite er bisher die 

3 0 Identitat dieses Kollegen zum Zeitpunkt der Uberweisung 
bereits kennen. Dies ist mit dem im folgenden geschil- 
derten Verfahren unter Einsatz der erf indungsgemaEen 
Vorrichtung und des erf indungsgemaEen Verfahrens nicht 
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mehr erf orderlich. Das zugrunde liegende System sieht 
zumindest eine zentrale Datenstation, einen Server, 
vor, zu dem von Datenstationen der am System beteilig- 
ten Stellen, im vorliegenden Fall den extern en Rechnern 
5 der Arzte, eine Verbindung hergestellt werden kann. 

Bezogen auf den oben dargestellten Fall bedeutet dies, 
daft der uberweisende Arzt die fur den (noch unbe- 
kannten) Kollegen vorgesehenen medizinischen Daten des 
Patienten auf dem Server ablegt, von dem sich der 
10 Kollege diese Daten dann zu einem spateren Zeitpunkt 
hoi en kann. 

Die Beschreibung der Sicherheitsmechanismen geht 
dabei zunachst von allgemeinen Sicherheitsaspekten des 
15 Systemdesigns aus, beschreibt dann die allgemeine und 
spezielle Nutzung kryptographischer Verfahren und 
schlieElich die Einbindung und technische Umsetzung der 
erf indungsgemafien Vorrichtung. 

20 Jede Form des aktiven Lesens von Daten erfordert 

ein - gegebenen falls eingeschranktes - Zugrif f srecht 
auf die Datenstation, auf der die Daten gespei chert 
sind. Im vorliegenden Beispiel gestattet das System 
keinen lesenden Zugrif f auf den Server, sondern nur das 

25 Absetzen einer Datenanf orderung durch die beteiligten 

Stellen. Bei nachgewiesener Empf angsberechtigung werden 
die Daten dem Anforderer, im vorliegenden Beispiel also 
dem die Daten anfordernden Facharzt, uber das Netz 
zugeschickt. Dadurch werden direkte Zugrif fe einer 

3 0 externen Stelle auf Datenbestande des Servers weitest- 
gehend unterbunden. 
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Das beispielhafte Konzept verwendet fur die 
Kommunikation eine Kommunikationsart , die als "remote 
procedure call" (RPC) bekannt ist. Dabei wird vom 
externen Rechner eine Aufforderung an den Server 
5 gesendet, eine bestimmte Funktion auszufuhren und das 
Ergebnis dieser Funktion als Resultat zuruckzugeben. 
Der Vorteil dieser Kommunikation ist, daS auf dem 
Server eine problemspezif ische Applikation lauft, die 
nur genau die Operationen ausfiihrt, die in der System- 
10 funktion vorgesehen sind. Dariiber hinausgehende 

Funktionen, wie z.B. ein direkter Dateizugrif f , sind 
auf diese Weise absolut sicher ausgeschlossen . 

Das Konzept sieht weiterhin vor, daS ein 
15 Netzteilnehmer zura Aufbau einer Verbindung zunachst 
immer eine Aufforderung zura Verbindungsaufbau an den 
Server schickt. Bei dieser Operation selbst erfolgt 
noch kein Verbindungsaufbau. Es ist vielmehr vorge- 
sehen, diese Anforderung als sogenannte "D-Kanal- 
20 Nachricht" zu realisieren. Dabei handelt es sich urn 

eine spezielle Funktion des ISDN-Netzes, bei der noch 
vor dem "Annehmen" eines Gespraches - damit auch 
gebuhrenfrei - nur die Kennung bzw. Nummer des Anrufers 
ubermittelt wird. AnschlieEend priift der Server die 

25 Ubereinstimmung dieser Nummer mit einer am Server 

gespeicherten Teilnehmerliste, und nur wenn die ttber- 
mittelte Nummer des Anrufers zu einem "berechtigten" 
Netzteilnehmer geh6rt, initiiert der Server einen Rxick- 
ruf viber eine in einer internen Datenbank gespeicherte 

30 Nummer. 

Der besondere Sicherheitsaspekt dieser Losung' 
besteht darin, daS zwar die im D-Kanal ubertragene 
Nummer des Anrufers unter bestimmten Umstanden 
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falschbar ( "maskierbar " ) ist, die Verbindung durch den 
Server aber in jedem Fall mit dem tats&chlichen Inhaber 
dieser Nummer, also einen berechtigten Netzteilnehmer 
aufgebaut wird. Damit wird im unguns tigs ten Falle ein 
5 Verbindungsaufbau zu einem Netzteilnehmer angestoEen, 
der diesen gar nicht angefordert hatte, jedoch zum 
Kreis der Berechtigten gehort. In einem derartigen Fall 
kann es zu keiner Datenubertragung kommen, da der 
Rechner des unaufgef order t zuruckgeruf enen Teilnehmers 
10 keine Datenanf orderung bereithalt, und damit auch nicht 
zum Verbindungsaufbau bereit ist. 

Das vorliegend beschriebene beispielhaf te Konzept 
basiert darauf, Dokumente im Sinne eines "Mailings" 

15 einmalig zu iiber tragen. Sobald ein Dokument vom Server 
durch einen berechtigten Adressaten abgefordert und 
diesem zugestellt wurde, wird es auf dem Server ge- 
16scht (zunachst logisch, dann auch physisch) . Dies ist 
speziell im vorliegenden Anwendungsf all moglich, da die 

20 Daten jeweils nur fur einen Adressaten vorgesehen sind. 
Sollen die Daten mehreren Adressaten zugfinglich sein, 
wird diese Mafcnahme nicht vorgesehen. 



Verfallsdatum versehen, nach dessen Ablauf sie eben- 
25 falls physisch geloscht werden. Damit entsteht keine 
Akkumulation von Daten auf dem Server, womit auch die 
Zusammenfuhrung von unterschiedlichen Dokumenten, die 
etwas iiber einen Patienten oder auch uber einen Arzt 
aussagen konnten, unmoglich gemacht wird. Die .Identi- 
30 fikation der Dokumente erfolgt iiber eine einmalig nur 
fur diesen Kommunikationsvorgang vergebene Vorgangs-ID, 
die keinen RuckschluS auf den Patienten zulafit. Diese 
ID mufi dem anfordernden Arzt bekannt sein, und wird ihm 



Alle Dokumente werden weiterhin mit einem 
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vorzugsweise mit dem zugehorigen Papierdokument durch 
den Patienten (ibermittelt . 

Zusatzlich zu den oben beschriebenen Sicherheits- 
5 mafinahmen werden alle Daten fur die Ubertragung und 
Speicherung verschlusselt und signiert. Dazu werden 
kryptographische Standardverf ahren mit sicherem Aus- 
tausch von Schltisseln, beispielsweise entsprechend 
X.509, eingesetzt. Dabei handelt es sich um sym- 

10 metrische verschltisselungsverf ahren wie Triple DES, 
"blowfish" oder IDEA fur die Verschlusselung groSer 
Datenmengen und asymmetrische Verschlusselungsverf ahren 
wie RSA oder elliptische Verschlusselungsverf ahren fur 
die digitale Signatur (Verschlusselung eines Hash- 

15 Wertes) und die Verschlusselung des symmetrischen 
Session-Keys • 

Zur Sicherung der Authentizitat und Integritat der 
libertragenen Daten wird jedes Dokument vor dem Versand 
20 mit dem privaten Schlttssel des Absenders, im vorliegen- 
den Fall des uberweisenden Arztes, signiert. Dazu wird 
ein Hash-Wert ermittelt und dieser mit dem privaten 
SchlUssel des Absenders asymmetrisch verschlusselt. Die 
Signatur des Dokument es bleibt auch nach dem Entschlus- 

25 seln (siehe nachfolgende Schritte) erhalten und steht 
somit fur den forensisch relevanten Nachweis der Echt- 
heit des Dokumentes zur Verftigung. Voraussetzung fttr 
den Nachweis der Echtheit ist allerdings, da& das 
Dokument beim Empf anger in der signierten Form ge- 

30 speichert wird, gegebenenf alls zusatzlich zur lesbaren 
Version ohne Signatur. Ein getrenntes Speichern von 
Dokument und Signatur ist mbglich, birgt jedoch die 
Gefahr, da& durch ungewollte Modifikation des Dokumen- 
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tes - z.B. beim Offnen im Textverarbeitungssystem - die 
Signatur ungultig wird. Die Archivierung des Dokuments 
obliegt dem Empf anger. 



generierten Schlussel (Session-Key) der L&nge N (N 
sollte aus Sicherheitsgrunden groSer oder gleich 128 
sein) symmetrisch verschlusselt . Der zum Verschlusseln 
verwendete Session-Key wird mit dem of fentlichen 
10 Schliissel des Servers , d.h. der am Server installierten 
erf indungsgemafcen Vorrichtung, verschllisselt . Die 
Schltissellange sollte aus Sicherheitsgrunden mindestens 
1024 Bit betragen. 

15 Da das Dokument inklusive Signatur verschllisselt 

wird, kann der Server ohne Entschliisselung der Daten 
die Echtheit des Dokumentes - auch im Sinne seiner 
fehlerfreien Ubertiragung und seiner Existenz an sich 
(elektronisches "Einschreiben" ) - nicht uberprufen. Urn 

20 dies zu erm5glichen; wird das signierte und verschliis- 
selte Dokument nochmals zusatzlich signiert. 

Das wie oben beschrieben vorbereitete Dokument 
wird als MIME-kompatibles File aufbereitet und in 
25 dieser Form mittels eines entsprechenden RPC an den 
Server iibermittelt. 

Auf dem Server wird das Dokument aus dem MIME- 
Format entpackt und die auSere Signatur kontrolliert 
30 und dabei entfernt. Damit wird die Unversehrtheit , d.h. 
die Vollstandigkeit und Originalit&t , des Dokumentes 
uberpruft und kann protokolliert werden. Nach erfolgter 
Ablage des (verschliisselten) Dokumentes wird eine vom 



5 



Die Einzeldokumente werden mit einem zufallig 
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Server mit dessen persdnlichem Schlussel signierte 
Empfangsbestatigung an den Absender zuriickgegeben als 
zweif elsf reier Nachweis der erfolgten Ablage des 
Dokumentes . 

5 

Das weiterzuleitende Dokument wird auf dem Server 
in der (innen) signierten und dann verschliisselten Form 
gespeichert. In dieser verschliisselten Form ist es von 
niemandem zu entschliisseln. 

10 Als Ablage- bzw. Zugrif f skriterium zum Verwalten 

des verschliisselten Dokuments dient eine unverschliis- 
selt mitgelief erte Vorgangs-ID, die zu jedem Vorgang 
gehort. Diese Vorgangs-ID, wird, wie bereits oben 
dargelegt, dem spater durch den Patient en ausgewahlten 

15 Arzt durch diesen auf direktem Wege ubermittelt. Fur 
den Server ist diese ID aus der iibersandten Datenan- 
forderung ersichtlich, deren Bestandteil sie ist. 

Da ten konnen vom Server durch Mitglieder des 
2 0 jeweiligen Netzes unter Angabe dieser jeweiligen 

Vorgangs-ID, ihrer ISDN-Nummer und ihrer Arztkennung 
angefordert werden. 

Zur weiteren Erhohung der Sicherheit konnen 
zus&tzliche Identif ikatoren, z.B zur Kennzeichnung des 
2 5 jeweiligen Patient en, notwendig sein. 

Bei der Anforderung der Daten durch den betreffen- 
den Facharzt erfolgt eine UmschlUsselung der Daten 
durch die erf indungsgem&fie Vorrichtung, so da£ sie fur 
30 einen den anfordernden Arzt lesbar werden. Dazu wird 
der fur die symmetrische Verschliisselung der Daten 
verwendete Session-Key mit dem im Server vorhandenen 
privaten Schlttssel des Servers entschltisselt und sofort 
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wieder mit dem offentlichen Schlussel des anfordernden 
Empf&ngers verschliisselt . Dieser Sffentliche Schlussel 
ist - zusammen mit der Arzt-ID und der ISDN-Nummer - im 
Verzeichnis der beteiligten Netzarzte gespeichert und 
5 kann uber die Dienste eines einbezogenen Trust-Centers 
jederzeit aktualisiert werden. 

Ein Entschlusseln der medizinischen Daten selbst 
ist nicht notwendig. Zum spateren Entschlusseln der 
Daten mu£ nur der - jetzt fur den Empf anger lesbare - 

10 Session-Key bekannt sein, der bei der Verschlusselung 
per Zufall generiert wurde. 

Auf diese Weise wird vermieden, daS die medizi- 
nischen Daten selbst zu irgendeinem Zeitpunkt auf dem 
Server in unverschlusselter Form vorliegen. Auf die 

15 verschlusselten Daten erfolgt wahrend des Umschlus- 
selungsprozesses keinerlei Zugriff . Verarbeitet wird 
lediglich der fur Ihre Verschlusselung verwendete 
Session-Key, der in einem geschlossenen ProzeE aus 
einer nur far den Server lesbaren in eine far den 

20 Anfordernden lesbare Form "umgeschlusselt " wird. 

Das fiir den Versand an den Empfanger verschlus- 
selte Dokument wird nochmals zur Sicherung der korrek- 
ten Obertragung zum Empfanger und einer eventuell 
25 gewunschten Protokollierung signiert, und zwar durch 
den Server mit dessen personlichem Schliissel. 

Das wie oben beschrieben vorbereitete Dokument 
wird wiederum als MIME-kompatibles File aufbereitet und 
30 in dieser Form als Riickgabewert eines RPC zur Daten- 
anforderung an den Anforderer geschickt. 
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Beim Empfanger wird das Dokument aus dem MIME- 
Format entpackt und die aufiere Signatur kontrolliert 
und dabei entfernt. Damit wird wiederum die Unversehrt- 
heit, d.h. Vollstandigkeit und Originalitat, des 
5 Dokumentes iiberprtift. Eine vom Empfanger mit dessen 
persSnlichem Schlussel signierte Empf angsbestatigung 
wird an den Server zuruckgegeben als zweif elsf reier 
Nachweis der erfolgten Ubermittlung des Dokumentes. 

10 Mittels des personlichen Schlussels des Empfangers 

kann dieser den verschlusselten Session-Key entschlus- 
seln und mit diesem wiederum die Daten selbst. Danach 
liegen diese lesbar nur noch in der durch den Absender 
signierten Form vor. 

15 

Die Signatur des Ausgangsdokumentes dient der 
Nachweisbarkeit seiner Originalitat. Urn diese zu 
erhalten ist es notwendig, das Dokument in der sig- 
nierten Form auf zubewahren. 

20 

Ein moglicher Angrif f spunkt auf die Daten ist der 
private SchlUssel des Servers. Da alle eingelagerten 
Daten - genauer gesagt alle Session-Keys der einge- 
lagerten Daten - mit demselben Schlussel des Servers 

2 5 lesbar sind, lohnt sich ein Angrif f auf diesen 

Schlussel einerseits besonders, andererseits wird er 
durch die Menge vorliegender Daten erleichtert. 

Urn diesem Umstand vorzubeugen, wird bei einer 
bevorzugten Aus fuhrungs form der vorliegenden Erfindung 

3 0 als zusatzlicher Sicherheitsmechanismus eine Zwei- 

teilung des Session-Keys eingefiihrt. 
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Wie weiter oben beschrieben, werden die Ursprungs- 
daten mit einem N-stelligen (N vorzugsweise groSer oder 
gleich 128) symmetrischen Schlussel verschlusselt. 
Dieser Schlussel wird liblicherweise fur die Ubertragung 
5 asymmetrisch und nur fur den Empfanger lesbar ver- 
schlusselt. Die - auch gewaltsame - Entschllisselung des 
Session-Keys reicht damit aus, um die Daten selbst 
entschliisseln zu konnen. 

10 Um dies zu verhindern, wird folgende Modifikation 

eingefuhrt. Bei dieser Modifikation wird der Session- 
Key vor seiner asymmetrischen Verschlusselung zweige- 
teilt. Beispielsweise werden M (0 < M < N) der N Bits 
des Session-Keys als sogenannter "Vorgangsschliissel" 

15 herausgelost . Nur die verbleibenden (N-M) Bits des 

Session-Keys werden asymmetrisch verschlusselt und mit 
den Daten (ibertragen. 

Die Umschlusselung der Daten mit reduziertem 
Session-Key kann in genau derselben Weise erfolgen, wie 

20 oben in Zusammenhang mit einem vollst&ndigen Session- 
Key beschrieben. Da die Daten selbst auch dort nie 
entschliisselt werden miissen, ist der vollstandige 
Session-Key nicht notwendig. Es wird lediglich der 
rudimentare Session-Key durch den Server entschliisselt 

25 und fiir den Anforderer wieder verschlusselt. 

Die Entschllisselung beim Empfanger unterscheidet 
sich von der oben beschriebenen Vorgehensweise dahin- 
gehend, daS nach der Entschllisselung des Session-Keys 
30 mittels privatem Schlussel des Empf angers dieser 

Session-Key um die beim Absender separierten M Bits des 
Vorgangsschlussels erweitert werden muS. Danach kann 
die Entschllisselung wie oben dargestellt erfolgen. 
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Der beim Absender der Daten erzeugte Vorgangs- 
schlussel, d.h. die separierten M Bits, wird an die 
ebenfalls dort erzeugte Vorgangs-ID angefiigt. Die 
5 Kombination. von Vorgangs-ID und Vorgangsschlussel 

ergibt die sogenannte Vor gangs kennung, die auf dem den 
Vorgang begleitenden Papierdokument (Uberweisungschein, 
Einweisungsschein, Rezept, . ..) aufgedruckt und beim 
Empf Snger erfaSt wird. Der in der Vorgangskennung 
10 enthaltene Vorgangsschlussel wird niemals zum Server 
ttbertragen, so da£ dort nie alle Inf ormationen 
zusammenkommen, die ausreichen wiirden, um ein Dokument 
tats&chlich zu entschliisseln . 

15 Ein Beispiel fur eine erf indungsgemafie Vor- 

richtung, wie sie fur die Durchfuhrung des obigen 
Anwendungsbei spiels eingesetzt wird, ist in Figur 1 
dargestellt . 



20 Einsteckmoduls 1 (Umschlusselungsmodul) zum modular en 
Einbau in den Server ausgebildet. Das Modul 1 bein- 
haltet im vorliegenden Beispiel eine Chipkarte 2, die 
die Entschliisselung des verschliisselten Session-Keys 
10a mit Hilf e des in der Chipkarte 2 gespeicherten 

25 privaten Schlussels des Servers und die erneute Ver- 
schlxisselung des Session-Keys mit dem of fentlichen 
Schlussel des Adressaten bzw. Anfordernden der Daten 
vornimmt. Der private Schlussel des Servers ist dabei 
von au£erhalb der Chipkarte bzw. des Modul s nicht zu- 

3 0 ganglich. Der offentliche Schlussel des Anfordernden 

wird der Vorrichtung 1, ebenso wie der umzuschltisselnde 
Session-Key 10a \iber eine dafiir vorgesehene Schnitt- 



Die Vorrichtung ist vorzugsweise in Form eines 
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stelle zugefiihrt. Uber eine weitere Schnittstelle wird 
der neu verschlusselte Session-Key 10b ausgegeben. 

Der Prozessor des Servers selbst tibernimmt hierbei 
die Aufgabe, den Session-Key 10a von dem verschliissel- 
5 ten Datenblock 11 abzutrennen, der Vorrichtung 1 zuzu- 
fuhren und den von der Vorrichtung gelieferten, neu 
verschlusselten bzw. umgeschlusselten Session-Key 10b 
wieder an den Datenblock 11 anzufiigen, wie in der Figur 
schematisch dargestellt ist. 
10 Es ist allerdings auch moglich, diese Trennung und 

erneute Zusammenfuhrung direkt in der Vorrichtung 1 
vorzunehmen. Hierbei miifcte der Vorrichtung der gesamte 
Datenblock 11 mit dem Session-Key 10a zugefiihrt werden. 

15 Der personliche Schlussel des Servers ist 

zweifelsohne ein problematischer Punkt im Hinblick auf 
gezielte unberechtigte Zugrif f sversuche auf die Daten. 

Ublicherweise diirfen bzw. sollten Schlussel nicht 
auf dem Rechner gespeichert werden, auf dem die 

20 verschlusselten Daten gespeichert bzw. bearbeitet 

werden. Dies ist jedoch bei automatischer Arbeit des 
Servers, wie im vorliegenden Fall, unvimganglich. Aus 
diesem Grunde ist im vorliegenden Ausf uhrungsbeispiel 
vorgesehen, die Vorrichtung als gekapselte und plom- 

25 bierte Einheit auszugestalten, die in der Lage ist, die 
vollstandige Prozedur der Datenumschliisselung intern zu 
handhaben, ohne daE der entschliisselte (auch rudimen- 
tare) Session-Key oder auch nur Spuren seiner Ent- 
schliisselung die autonome Einheit verlassen. 



Heutzutage sind bereits Schliisselkarten am Markt 
verfiigbar, die in der Lage sind, die asymmetrische 
VerschlUsselung eines 128 Bit Session-Keys nach einem 
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102 4 Bit RSA-Verfahren vollstandig auf dem Chip der 
Karte auszufuhren. Demnachst werden solche Karten auch 
fur 2 048 Bit Schlussel zur Verfugung stehen. 
Insbesondere besteht die Moglichkeit, das Schliisselpaar 
5 (3f f entlicher Schlussel - privater Schlussel) direkt 

auf der Karte oder in einem gesetzeskonf ormen, zertifi- 
zierten Trust-Center generieren zu lassen, ohne daS der 
private Schlussel der Karte diese jemals verlafit. Eine 
solche Schliisselkarte kann in der erf indungsgemaSen 

10 Vorrichtung als Chipkarte 2 eingesetzt werden. Hierbei 
wird dieser Karte 2 in einem ersten Schritt zunachst 
der verschlusselte Session-Key 10a zugefuhrt. Dieser 
wird mit Hilfe des privaten Schliissels des Karte, 
weiter oben als der private Schltissel des Servers 

15 bezeichnet, entschlusselt . Der entschlUsselte Session- 
Key wird von der Karte 2 ausgegeben 7 ohne die Vor- 
richtung 1 jedoch zu verlassen. Er wird vielmehr in 
einem zweiten Schritt der Karte 2 erneut, diesmal 
zusammen mit dem 5f fentlichen Schltissel des Adressaten 

20 eingegeben. Die Karte 2 liefert in diesem zweiten 

Schritt den neu verschlusselten Session-Key 10b zurlick. 
Dies ist schematisch durch die Pfeile innerhalb der 
Vorrichtung 1 in der Figur angedeutet. Die hierfur 
zusatzlich erf orderliche Schaltung, Puf f er-Einheit 4, 

2 5 dient u.a. zur zeitlichen Koordination dieser Vorgange. 

Diese Puf f er-Einheit 4 kann beispielsweise durch einen 
geeignet programmierten Mikroprozessor oder mittels 
einer Logikschaltung realisiert werden. 

3 0 Urn zu verhindern, daS aus Modulationen auf der 

Stromversorgung der Vorrichtung Rtickschlttsse auf die 
internen Ablaufe moglich sind, ist in der vorliegenden 
Aus fiihrungs form der Vorrichtung eine Konstant- 
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stromschaltung 3 vorgesehen, die garantiert , daS die 
Vorrichtung im Rahmen eines definierten Intervalls der 
Versorgungsspannung eine konstante und modulationsf reie 
Stromaufnahme vorweist. Bei Unter- oder Uberschreiten 
5 bestimmter Grenzen der Betriebsspannung oder anderer 
Betriebsparameter , wie z.B. der Temperatur, schaltet 
sich die Vorrichtung mit einer Fehlermitteilung ab. 



10 Riickschliisse auf die internen Vorgange gezogen werden 
k6nnten, konnen alle Eingangsdaten zunachst in der 
Puf f er-Einheit 4 oder einer speziell dafiir vorgesehenen 
Einheit gepuffert, und nach einer standig gleichen Zeit 
die Ergebnisse ausgegeben werden, unabhangig davon, 

15 weiche Zeit die internen Abl&ufe in Anspruch genommen 
haben . 

Ein "Abhtiren" der elektromagnetischen Vorgange in 
der Vorrichtung wird im vorliegenden Ausfiihrungs- 
20 beispiel durch eine elektromagnetische Abschirmung 5 
der Vorrichtung verhindert . 

Als Schnittstelle der Vorrichtung ist einerseits 
eine Schnittstelle fur die Eingabe des asymmetrisch 

2 5 verschliisselten Session-Keys 10a (bzw. des Rudimentes 
dieses Schlussels) und des offentlichen Schliissels des 
anfordernden Empf angers vorgesehen. Andererseits muS 
eine Schnittstelle fur die Ausgabe des asymmetrisch 
verschliisselten Session-Keys 10b (bzw. dessen Rudiment) 

30 vorhanden sein. Beide Schnittstellen konnen bei 

geeigneter Ausfuhrung physikalisch identisch sein. 

Weiterhin k6nnen fur die Erzeugung bzw. 
Oberpriifung von Signaturen Schnittstellen far die 



Da auch aus dem Zeitverhalten der Vorrichtung 
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Eingabe des Hash-Wertes des zu signierenden Dokumentes 
und fur die Ausgabe des symmetrisch verschlusselten 
Hash-Wertes, d.h. der Signatur vorgesehen sein. 



Zusammenhang mit dem zugrunde liegenden Beispielfall 
dargestellt wurden, lassen sich dieses Konzept und die 
erf indungsgemaSe Vorrichtung selbstverst&ndlich auch 
auf andere Bereiche anwenden, bei denen eine sichere 
10 Dateniibertragung zwischen zwei Datenstationen liber eine 
Zwischenlagerung auf einem Server erforderlich ist. 

Weiterhin ist die Erfindung nicht auf die Weiter- 
leitung der Daten nur liber eine Zwischenstation bzw. 

15 einen Server beschrankt. So konnen die Daten auch uber 
mehrere Server geleitet werden, wobei der Abruf der 
Daten durch einen weiteren Server jeweils wie der Abruf 
durch einen Adressaten ausgefuhrt wird. Auf dem 
weiteren Server werden dann die Daten in gleicher Form 

20 wie auf dem ersten Server behandelt, d.h. auch dieser 
weitere Server mufi die erf indungsgema£e Vorrichtung 
aufweisen . 



Obwohl die vorangehend beschriebenen MaiSnahmen in 
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Patentanspriiche 

1. Vorrichtung fur die sichere Ubertragung bzw. 
Weiterleitung von verschliisselten Daten ilber eine 
Datenstation eines Netzwerkes, mit 
5 - einer Eingangseinheit zum Empfangen der verschliis- 
selten Daten (10a) sowie eines externen Schlttssels, 

- einer Einheit (2) zum Entschlusseln der verschliissel- 
ten Daten mit einem internen Schliissel und zum erneuten 
Verschlusseln der Daten mit dem externen Schliissel, 

10- wobei der interne Schliissel von auEerhalb der Vor- 
richtung nicht zuganglich ist; und 

- einer Ausgangseinheit zum Ausgeben der mit dem 
externen Schliissel verschliisselten Daten (10b) . 

15 2. Vorrichtung nach Anspruch 1, 

dadurch gekennzeichnet , da£ der interne Schliissel 
innerhalb der Einheit (2) zum Entschlusseln und 
Verschliisseln auf einem geeigneten Datentrager 
gespeichert ist. 

20 

3. Vorrichtung nach Anspruch 1 oder 2, 
dadurch gekennzeichnet , da£ die Einheit (2) zum 
Entschlusseln und Verschlusseln eine Chipkarte als 
Tr&ger des internen Schlussels umfaEt. 

25 

4. Vorrichtung nach Anspruch 1 oder 2, 
dadurch gekennzeichnet, da£ die Einheit (2) zum 
Entschliisseln und Verschlusseln eine aktive Chipkarte 
mit integriertem Prozessor umfaSt, die die Ent- und 

30 Verschliisselung der Daten ganz oder teilweise 
ubernimmt . 
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5. Vorrichtung nach einem der Anspruche 1 bis 4, 
dadurch gekennzeichnet , da£ sie eine Puffer- und Logik- 
Einheit (4) zur zeitlichen Steuerung des Datenflusses 
in der Vorrichtung aufweist, die der Einheit (2) zum 

5 Entschlilsseln und Verschlusseln zun&chst die verschliis- 
selten Daten (10a) zur Entschlusselung zufuhrt und 
entschlilsselt zuriickerhalt , und die anschliefiend der 
Einheit (2) zum Entschliisseln und Verschlusseln die 
entschlttsselten Daten zur Verschliisselung mit dem 
10 externen Schlussel zufuhrt und als verschlusselte Daten 
(10b) zurackerhalt . 

6. Vorrichtung nach einem der Anspruche 1 bis 5, 
dadurch gekennzeichnet, daS die Eingangseinheit und die 

15 Ausgangs einheit Standardschnittstellen fur die Ein- und 
Ausgabe der Daten aufweisen. 

7. Vorrichtung nach einem der Anspruche 1 bis 6, 
dadurch gekennzeichnet, daS die Einheit (2) zum 

20 Entschliisseln und Verschltisseln asymmetrische 
Verschlusselungsverf ahren einsetzt . 

8. Vorrichtung nach einem der Anspruche 1 bis 7, 
dadurch gekennzeichnet, daS sie mit einer vollstandigen 

25 mechanischen und elektromagnetischen Kapselung (5) und 
mit einer Moglichkeit zur Versiegelung versehen ist. 

9. Vorrichtung nach einem der Anspruche 1 bis 8, 
dadurch gekennzeichnet, dafi eine Puf f er-Einheit 

30 vorgesehen ist, die alle Datenstrdme innerhalb der 

Vorrichtung zum Ausgleich von eventuell vom internen 
Schlussel abhangigen Verarbeitungszeiten puffert, so 



WO 00/59155 



PCT/DEOO/00189 



- 23 - 

dag die Ausgabe der Daten der Vorrichtung nach einer 
prozeBunabhangigen Zeitspanne erf olgt . 

10. Vorrichtung nach einem der Anspruche 1 bis 9, 
5 dadurch gekennzeichnet , daS eine Einheit (3) zum 

Puffern der Stromauf nahme der Vorrichtung vorgesehen 
ist, so daS die Stromauf nahme der Vorrichtung 
unabh&ngig von der vom internen Schliissel abhangigen 
Stromauf nahme der Einheit (2) zum Entschliisseln und 
10 Verschliisseln oder weiterer interner Schaltkreise ist. 

11. Vorrichtung nach einem der Anspruche 1 bis 10, 
die weiterhin eine Einheit zum Empfangen eines ersten 
Datenblockes, der die verschlusselten Daten (10a) neben 

15 weiteren Daten (11) beinhaltet, und zum Abtrennen der 
verschlusselten. Daten (10a) von den weiteren Daten (11) 
sowie eine Einheit zum Zusammenf uhren der weiteren 
Daten (11) mit den erneut verschlusselten Daten (10b) 
zu einem zweiten Datenblock und zur Ausgabe des zweiten 

20 Datenblockes aufweist, wobei die verschlusselten Daten 
einen Schliissel darstellen, mit dem die weiteren Daten 
(11) verschlttsselt sind. 

12. Verfahren fur die sichere Ubertragung von Daten 
25 von einer ersten Datenstation uber eine zweite Daten- 

station zu einer dritten Datenstation unter Einsatz der 
Vorrichtung gemaS einem der vorangehenden Anspruche, 
mit folgenden Schritten: 

- Verschlusseln der Daten in der ersten Datenstation 
30 mit einem ersten Schliissel; 

- Verschlusseln zumindest eines Teils des ersten 
Schlussels in der ersten Datenstation mit einem 
offentlichen Schliissel der zweiten Datenstation; 
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- Ubermitteln der verschlusselten Daten (11) zusammen 
mit dem verschlusselten Teil des ersten Schliissels 
(10a) an die zweite Datenstation; 

- Speichern der verschlusselten Daten (11) und des 

5 verschlusselten Teils des ersten Schliissels (10a) in 
der zweiten Datenstation; 

- Anfordern der Daten durch die dritte Datenstation; 

- Entschlusseln des verschlusselten Teils des ersten 
Schliissels in der zweiten Datenstation mit einem zum 

10 offentlichen Schliissel passenden privaten Schliissel der 
zweiten Datenstation und erneutes Verschliisseln des 
vorher entschlusselten Teils des ersten Schliissels mit 
einem offentlichen Schliissel der dritten Datenstation; 
und 

15 - (ibermitteln der verschliisselten Daten (11) zusammen 
mit dem erneut verschliisselten Teil des ersten 
Schliissels (10b) an die dritte Datenstation. 

13. Verfahren nach Anspruch 12, wobei der erste 
20 Schliissel vollstandig verschlusselt und libermittelt 



14. Verfahren nach Anspruch 12, wobei nur ein Teil des 
ersten Schliissels verschliisselt und an die zweite 

2 5 Datenstation iibermittelt wird. 

15. Verfahren nach einem der Anspriiche 12 bis 14, 
wobei der verschliisselte Teil des ersten Schliissels in 
der dritten Datenstation mit dem privaten Schliissel der 

30 dritten Datenstation entschliisselt wird, und 

anschliefiend die Daten (11) mit dem ersten Schliissel 
entschlxisselt werden. 



wird. 
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16. Verfahren nach einem der Anspriiche 12 bis 15, 
wobei der offentliche Schlussel der dritten Daten- 
station aus einer internen Datenbank der zweiten 
Datenstation entnommen oder durch Riickfrage bei einem 
5 Trust-Center ermittelt wird. 
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International Preliminary Examining Report of 31/05/01 



1. This internal preliminary examining report is issued by the 
Office assigned therewith and is forwarded to the applicant in 
accordance with Article 36. 

2. This report comprises all told 8 pages including the cover 
page . 

Moreover. The report is accompanied by ENCLOSURES; these are 
pages with specification, claims and/or drawings which have 
been altered and are the basis of this report, and/or pages 
with amendments made before this authority (see Rule 70.16 and 
Section 607 of the Guidelines for PCT) 

These enclosures comprise all told 3 pages. 



Basis of the report 



V X Reasoned opinion according to Rule 35 ( 2 ) regarding 

novelty, inventive step and commercial applicability: 
documents and explanation in support thereof 

VII X Specific shortcomings of the international application 

VIII X Specific remarks concerning the international 

application 



1 . Basis of the Report 

l.This report was drawn up on the basis (replacement pages filed 
upon request by the Office according to Article 14 shall be 
considered within the scope of this report as "originally 
filed" . ) 



Specification, Pages : 

1- 20 original version 

Claims, Nos . : 

2- 11,13-16 original version 



1, 12 



submitted on 25/04/2001 with letter of 24/04/2001 



Drawings , pages : 

1/1 original version 



V. Reasoned opinion to according Rule 66. 2a) ii) regarding 
novelty, inventive step and commercial applicability: 
documents and explanation in support thereof 

1 . Opinion 

Novelty (N) Yes: Claims 1-16 

Inventive step (IS) Yes: Claims 1-16 

Commercial applicability (CA) Yes: Claims 1-16 



2 . Documents and Explanations 
see accompanying page 



VII, Specific shortcomings of the international application 

It was determined that the international application shows the 
following shortcomings as to form and content: 
see accompanying page 



VIII. Specific remarks concerning the international application 

For clarity of the claims, of the specification and the drawings 
or whether or not the claims are fully supported by the 
specification, the following is to be noted: 
see accompanying page 
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INTERNATIONAL PRELIMINARY REPORT 
ACCOMPANYING PAGE 

To SECTION V: 

1) . According to its title, the international application PCT/DE00/189 is concerned with a device 
and a method for secure electronic data processing. Claim 1 describes a device and the 
independent claim 12 the process. 

2) . The nearest state of the art according to the international search report are documents Dl 
and D2. 

Dl: EP-A-0 869 652 (TUMBLEWEED SOFTWARE CORP) 7 October 1998 (1998-10-07) 
D2: US-A-5 751 813 (DORENBOS DAVID) 12 MAY 1998 (1998-05-12) 

The generic part of claim 1 is based on the disclosure of D2. 

The drawback of the state of the art are explained on page 2, second and third paragraph as well 
as on page 6, lines 15 to 31. 

• The object of the invention is (cf. Page 2, last paragraph) to provide a device and a method 
for secure data transmission via the server of a network wherein the addressee of the data 
does not need to be known at the time the data is available. 

4a ). The object of the present invention is solved by the advantageous interaction of the technical 
features set forth in claim 1 . The device of claim 1 is shown in figure 1. 
Claim 1 states: 

A device for secure transmission respectively forwarding of coded data 
from a first data station 
via a second data station 

to a third data station of a network, 
having 

an input unit 

for receiving said coded data (10a) from said first data station 
and 

for receiving a requester's external key from said third or a further data station, 
- a unit (2) 

for recoding said coded data by means of decoding with an internal key and recoding 
with said external key, with said internal key not being accessible from outside said device: 
and 

an output unit for issuing said data (10b) encoded with said external key, 
wherein 

said device is designed in such a manner on or in said second data station 

that said unit (2) recodes the data only after request by said third data station with the aid of said 

requester's external key and 

the data do not leave said device during recoding, 

so that the data are not accessible in uncoded form on said second data station from outside said 
device. 



4b). The objet of the present invention is solved by the advantageous interaction of the technical 
features set forth in independent claim 12. 
Claim 12 states: 

A method for secure transmission of data 
from a first data station 
via a second data station 
to a third data station 
using the device according to one of the preceding claims on 
or in said second data station, 
having the following steps: 

- encoding the data in said first data station with a first key (10a), 

- dividing said first key (10a) into a first part and a second part in such a manner that neither 
said first nor said second part alone permit decoding the coded data; 

- encoding said first part of said first key (10a) in said first data station with the public key of 
said second data station; 

- transmission of said coded data (11) together with said coded first part of said first key (10a) 
to said second data station; 

- storage of said coded data (11) and of said coded first part of said first key (10a) in said 
second data station; 

- request of said data by said third data station, the identity of which is unknown to said second 
data station until it is informed by the request; 

decoding of said coded first part of said first key in said second data station with a private key 

of said second data station matching said public key 

and 

recoding of said previously decoded first part of said first key with a public key of said third 
data station; and 

- transmission of said coded data (11) together with said recoded first part of said first key 
(10b) to said third data station; 

- decoding of said coded first part of said first key (10b) in said third station with a private 
key matching the public key of said third station; 

- completion of said first key (10a) in said third station by adding said first part to said second 
part of said first key which was transmitted on a separate path from said first data station to 
said third data station; 

- decoding said coded data (11) with the complete first key (10a) in said third data station. 

5. The subject matter described in claims 1 and 12 develop advantageous effects as explained on 
page 7 (last paragraph) of the specification. 

6. None of the documents of the international search report alone discloses all the technical 
features of claim 1 respectively of independent claim 12. The subject matter of claims 1 
respectively 12 , therefore, fulfill the criterium of novelty (Art.33(10 and (2)PCT). The subject 
matter of claim 1 respectively 12 are also not obvious from the documents cited in the 
international search report. Therefore the requirements regarding inventive step of the claims 
subject matter are fulfilled (Article 33(1) and (3)PCT). 

Commercial applicable is the subject matter of claims 1 respectively 13, i.a. in the field of 
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transmitting medical data. Consequently, the requirements of Article 33(1) and (4) PCT are 
* fulfilled. 

7. The dependent claims 2 to 1 1 and 13 to 16 define special designs of the device according to 
claim 1 respectively of the process according to claim 12, which principally and subject to the 
remarks in section VIII also fulfill the requirements with regard to novelty, inventive step and 
commercial applicability (Art. 33(2) to (4)PCT). 



To Section VII: 

1) . Documents Dl and D2 were not cited in the specification; nor was the state of the art 

contained therein briefly described. The requirements of Rule 5.1(a)(ii)PCT are therefore 
not fulfilled. 

2) . The specification (cf. page 3, second paragraph ff.) was not adapted to the pertinent claims. 

Thus the requirements of Rule 5.1(a)(iii)PCT are not fulfilled. 

3) . Figurel/1 uses some expressions such as "receivers p'key" etc. which are not part of the 

language of the proceedings (German) and therefore do not fall in the category of known 
technical terms. These terms have to be replaced by understandable terms of the language of 
the proceedings. The English terms may continued to be used if set in brackets. 

The applicant has said he will make respective amendments or adaptations upon entering in the 
regional or patenting phase. 

To Section VIII: 

The original, dependent claims 2 to 11 and 13 to 16 were not adapted to the amended independent 
claims 1 and 12. Thus there partly are objections regarding Article 6 PCT, because the additional 
features of the independent claims cause ambiguity (e.g. claim 13) or because the additional 
features of the independent claims have meanwhile become superfluous (e.g. claims 14 and 15) 
and the claims are therefore no longer concise. 

The applicant has said he will make respective amendments or adaptations upon entering in the 
regional or patenting phase. 
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New Claims 1 and 12 

1. A device for secure transmission respectively forwarding of 
coded data from a first data station via a second data station 
to a third data station of a network, having 

- an input unit for receiving said coded data (10a) from said 
first data station and for receiving a requester's external 
key from said third or a further data station; 

- a unit (2) for recoding said coded data by means of decoding 
with an internal key and renewed encoding with said external 
key, with said internal key not being accessible from outside 
said device; and 

- an output unit for issuing said data (10b) encoded with said 
external key ; 

wherein said device is designed in such a manner on or in said 
second data station that said unit (2) recodes said data only 
upon request by said third data station with the aid of said 
requester's external key and said data do not leave said device 
during recoding, so that said data are not accessible in uncoded 
form on said second data station from outside said device. 

12. A method for secure transmission of data from a first data 
station via a second data station to a third data station using 
the device according to one of the preceding claims on or in said 
second data station, having the following steps : 

- encoding the data in said first data station with a first key 
(10a) ; 

- dividing said first key (10a) into a first part and a second 
part in such a manner that neither said first nor said second 
part alone permit decoding the coded data; 

- encoding said first part of said first key (10a) in said first 
data station with the public key of said second data station; 

- transmission of said coded data (11) along with said coded 
first part of said first key (10a) to said second data 
station; 



VERTRAdJbER DIE INTERNATIONALE ZUSMWMEN ARBEIT 
AUF DEM GEBIET DES PATENTWESENS 



PCT 

INTERNATIONALER RECHERCHENBERICHT 

(Artikel 1 8 sowie Regeln 43 und 44 PCT) 



Aktenzeichen des Anmelders oder Anwaits 

990202PCT 


WE1TERES siehe Mrtteilung uber die Ubermittlung des internationalen 

Recherchenberichts (Formblatt PCT/ISA/220) sowie, soweit 
VORGEHEN zutreffend, nachstehender Punkt 5 


Internationales Aktenzeichen 

PCT/DE 00/00189 


Internationales Anmeldedatum 
(Tag/Monat/Jahr) 

20/01/2000 


(Fruhestes) Prioritatsdatum (T ag/Monat/Jahr) 

29/03/1999 


An me Id er 

FRAUNHOFER GESELLSCHAFT ZUR FORDERUNG.et a] 





Dieser internationale Recherchenbericht wurde von der Internationalen Recherchenbehdrde erstellt und wird dem Anmelder gemaS 
Artikel 18 ubermittelt. Eine Kopie wird dem Internationalen Buro ubermittelt. 

Dieser internationale Recherchenbericht umfaBt insgesamt _3 Blatter. 

[X] Daruber hinaus Itegt ihm jeweils eine Kopie der in diesem Bericht genannten Unterlagen zum Stand der Technik bei. 



1 . Grundlage des Berlchts 
a. 



Hinsichtlich der Sprache ist die internationale Recherche auf der Grundlage der internationalen Anmeldung in der Sprache 
durchgefuhrt worden, in der sie eingereicht wurde, sofern unter diesem Punkt nichts anderes angegeben ist. 



□ 



2. 
3. 



Die internationale Recherche ist auf der Grundlage einer bei der Behorde eingereichten Obersetzung der internationalen 
Anmeldung (Regel 23.1 b)) durchgefuhrt worden. 

Hinsichtlich der in der internationalen Anmeldung offenbarten Nucleotld- und/oder Amtnosauresequenz ist die internationale 
Recherche auf der Grundlage des Sequenzprotokolls durchgefuhrt worden, das 

| [ in der internationalen Anmeldung in Schriflicher Form enthalten ist. 

zusammen mit der internationalen Anmeldung in computerlesbarer Form eingereicht worden ist. 
bei der Behorde nachtraglich in schriftlicher Form eingereicht worden ist. 
bei der Behorde nachtraglich in computerlesbarer Form eingereicht worden ist. 

Die Erklarung, daB das nachtraglich eingereichte schriftliche Sequenzprotokoll nicht uber den Offenbarungsgehalt der 
internationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

Die Erklarung, daB die in computerlesbarer Form erfaftten Informationen dem schriftlichen Sequenzprotokoll entsprechen, 
wurde vorgelegt 

Bestlmmte Anspruche ha ben slch als nlcht recherchlerbar erwlesen (siehe Feld I). 
Mangel nde Elnheltllchkelt der Erflndung (siehe Feld II). 



□ 
□ 
□ 
□ 

□ 



□ 
□ 



Hinsichtlich der Bezelchnung der Erflndung 

pT| wird der vom Anmelder eingereichte Wortlaut genehmigt. 
[ | wurde der Wortlaut von der Behorde wie folgt festgesetzt: 



5. Hinsichtlich der Zusammenfassung 

wird der vom Anmelder eingereichte Wortlaut genehmigt. 

wurde der Wortlaut nach Regel 38.2b) in der in Feld til angegebenen Fassung von der Behorde festgesetzt Der 
f| Anmelder kann der Behorde innerhalb eines Monats nach dem Datum der Absendung dieses internationalen 
Recherchenberichts eine Stellungnahme vorlegen. 

6. Folgende Abbildung der Zelchnungen ist mit der Zusammenfassung zu veroffentlichen: Abb. Nr. _] 



| | wie vom Anmelder vorgeschlagen keine der Abb. 

|"X~| weil der Anmelder selbst keine Abbitdung vorgeschlagen hat. 
[ | weil diese Abbildung die Erfindung besser kennzeichnet. 



Formblatt PCT/ISA/210 (Blatt 1) (Juli 1998) 



INTERNATIONAL 



w 



ECHERCHENBERICm 



tlonales Aktenzeichen 



PCT/DE 00/00189 



A. KLASSIFIZIERUNG DES ANMELDUNGSGEGENSTANDES 

IPK 7 H04L9/30 H04L9/08 H04L29/06 



Nach der International en Patentklassifikation (IPK) oder nach der nationalen Klassifikation und der IPK 



B. RECHERCHIERTE GEBIETE 



Rechenchierter Mindestprufstoff (Klassifikationssystem und Wassifikationssymbole ) 

IPK 7 H04L 



Recherchierte aber nicht zum Mindestprufstoff gehorende Veroffentiichungen, soweit diese unter die recherchierten Gebiete fallen 



Wahrend der intemationalen Recherche konsultierte elektronische Datenbank (Name der Datenbank und evtl. verwendete Suchbegriffe) 



C. ALS WESENTUCH ANGESEHENE UNTER LAGEN 



Kategorie" Bezeichnung der Veroffentlichung, soweit erforderiich unter Angabe der in Betracht kommenden Teiie 



Betr. Anspruch Nr. 



EP 0 869 652 A (TUMBLEWEED SOFTWARE CORP) 
7. Oktober 1998 (1998-10-07) 

Seite 14, Zeile 42 -Seite 17, Zeile 30; 
Abbildung 3 



US 5 751 813 A (DORENBOS DAVID) 
12. Mai 1998 (1998-05-12) 
Spalte 2, Zeile 5 - Zeile 67 

-/-- 



1,2,6,7, 

11-13, 

15,16 



3,4,8 
1 
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Weitere Veroffentiichungen sind der Fortsetzung von Feld C zu 
entnehmen 



Siehe Anhang Patentfamilie 



* Besondere Kategorien von angegebenen Veroffentiichungen : 

"A" Veroffentlichung. die den allgemeinen Stand derTechnik definiert, 
aber nicht ais besonders bedeutsam anzusehen ist 

"E" ai teres Dokument, das jedoch erst am oder nach dem intemationalen 
An melded a turn veroffentlicht worden ist 

■f Veroffentlichung. die geeignet ist. einen Priori tatsanspnjch zweifeihaft er- 
scheinen zu I ass en, oder durch die das Veroffentiichungsdatum einer 
anderen im Recherchenbericht gen arm ten Veroffentlichung belegt werden 
soli oder die a us einem anderen besonderen Grund angegeben ist (wie 
ausgefuhrt) 

"O" Veroffentlichung. die sich auf eine mundliche Offenbarung, 

eine Benutzung, eine Ausstellung oder andere MaBnahmen bezieht 

"P" Veroffentlichung, die vor dem intemationalen ArtmeJdedatum, aber nach 
dem beanspruchten Prioritatsdatum veroffentlicht worden ist 



" Spatere Veroffentlichung, die nach dem intemationalen Anm elded a turn 
oder dem Prioritatsdatum veroffentlicht worden ist und mit der 
Anmeldung nicht kodidiert, sondem nur zum Verstandnis des der 
Erfindung zugrundeliegenden Prinzips oder der ihr zugrundeliegenden 
Theorie angegeben ist 

" Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann allein auf grund dieser Veroffentlichung nicht als neu oder auf 
erfinderischerTatigkeit beruhend betrachtet werden 

' Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann nicht als auf erfinderischer Tatigkeit beruhend betrachtet 
werden, wenn die Veroffentlichung mit einer oder mehreren anderen 
Veroffentiichungen dieser Kategorie in Verbindung gebracht wird und 
diese Verbindung fur einen Fachmann naheiiegend ist 

' Veroffentlichung, die Mitglied derselben Patentfamilie ist 



Datum des Abschlusses der intemationalen Recherche 



6. Juni 2000 



Abs ended a turn des international en Recherchenberichts 



28/06/2000 



Name und Postanschrift der Intemationalen Recherchenbehorde 
Europaisches Patentamt, P.B. 5818 Patentlaan 2 
NL - 2280 HV Rijswijk 
Tel. (+31-70) 340-2040, Tx. 31 651 epo nl, 
Fax: (4<31-70) 340-3016 



Bevollmachtigter Bediensteter 



Carnerero Alvaro, F 
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C.(Fortsetzung) ALS WESEI^TUCH ANGESEHENE UNTERLAGEN 



Kategorie* Bezeichnung der Verdrfentlichung, soweit erforderltch unter Angabe der in Betracht kommenden Teile 



Betr. Anspruch Nr. 



ISHII S ET AL: "A HIGH-SPEED PUBLIC KEY 

ENCRYPTION PROCESSOR" 

SYSTEMS & COMPUTERS IN JAPAN, US, SCRIPTA 

TECHNICA JOURNALS . NEW YORK, 

Bd. 29, Nr. 1, 

1. Januar 1998 (1998-01-01), Seiten 20-31, 
XP000742968 

ISSN: 0882-1666 
Seite 20 
Seite 26 



3,4,8 



MENEZES, VAN 00RSCH0T, VANSTONE: 
"Handbook of Applied Cryptography" 
PRESS , BOCA RATON, FLORIDA, USA; 
XP002139553ISBN: 0-8493-8523-7 
Seite 524 -Seite 525 
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